Win32/Rootkit.Agent.ODG

[Vleg]

Почитал про эту проблему у других, повоевал, но вылечить так и не сумел. Лог virusinfo_syscheck делал в безопасном режиме, т.к. в нормальном уходит в reboot.

[AndreyKa]

В меню AVZPM -> Установить драйвер расширенного мониторинга.
Перезагрузите компьютер.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

[Vleg]

Обновил.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\systemroot\system32\drivers\ESQULmoxaeyypvpkfrsicpmtwwwipfdvrtdbv.sys','');
 DeleteFile('\systemroot\system32\drivers\ESQULmoxaeyypvpkfrsicpmtwwwipfdvrtdbv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=51331

3. Пофиксите в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A436B2D-E438-46A9-A25B-D2B1C527FB87}: NameServer = 83.219.128.10,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B6FF2F-60EB-442C-9A86-C862CD733B2F}: NameServer = 85.255.112.227,85.255.112.166
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.227,85.255.112.166
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 85.255.112.227,85.255.112.166
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.227,85.255.112.166

4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

5. Сделайте такой лог http://virusinfo.info/showthread.php?t=40118

[Vleg]

Скрипт в AVZ смог сделать только в безопасном режиме. В карантине оказалась только пустая папка и 0 файлов. Лог в Gmer тоже только в безопасном режиме.

[Aleksandra]

Сохраните содержимое как start.bat в каталоге с gmer, запустите и после перезагрузки повторите лог gmer.

Код:

gmer.exe -del service ESQULserv.sys
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ESQULserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ESQULserv.sys"
gmer.exe -reboot

[Vleg]

Спасибо большое. Кажется получилось. Но лог Gmer пришлось делать в безопасном режиме. В нормальном, через пару минут уходит в перезагрузку.

[Aleksandra]

Ничего зловредного в логах нет. Что с проблемами?

[Vleg]

Explorer.exe грузит систему минимум на 50%.

[Rene-gad]

лог Gmer пришлось делать в безопасном режиме.

Это бестолку: руткиты в безопасном режиме тоже молчат. Перед запуском гмер отключите Антивирус и Файрвол и попробуйте сделать лог в нормальном режиме.
Удалите TuneUp - это последняя гадость.
Отключите или удалите Regguard - возможно он блокирует гмер

Всё запускаем только от имени администратора.

[Vleg]

Слегка почистил систему, explorer.exe вроде успокоился. Но снять лог Gmer в нормальном режиме не получается. Через несколько секунд после нажатия Scan комп уходит в reboot.

[Rene-gad]

Через несколько секунд после нажатия Scan комп уходит в reboot.

Вы всё поудаляли/поотключали? Попробуйте скачать предыдущую версию ГМЕР.

[Vleg]

Смог сделать в нормальном режиме только после отключения модуля Bluetooth.

[Aleksandra]

В логе чисто. В данном случае, особой важности не имело запущен Gmer в безопасном режиме или нет.